Cyberaanval op MCL niet vergelijkbaar met hack van Universiteit Maastricht

Een operatie bij MCL.

De cyberaanval waardoor ziekenhuis MCL in Leeuwarden zich dinsdag genoodzaakt zag alle externe digitale communicatie, waaronder patiëntenportal Mijnmcl, stil te leggen, is onvergelijkbaar met de hack van de Universiteit Maastricht eind vorig jaar.

,,Daar ging het om ransomware’’, zegt Else Maria van der Meulen, directeur van Datadiensten Fryslân. ,,Hier gaat het om een kwetsbaarheid in de software.’’ Bij ransomware breken cybercriminelen in op het netwerk van een bedrijf en zetten dat vervolgens op slot. Pas na het betalen van losgeld kan het getroffen bedrijf zijn systemen weer gebruiken.

Een groot deel van de computersystemen van de Limburgse universiteit werd lamgelegd: studenten konden hun rooster niet inzien, nieuwe studiematerialen konden niet besteld worden en het systeem van de bibliotheek was niet bereikbaar.

Ook Jan Klopper - eigenaar van ICT-bedrijf Underdark en voorzitter van Frack, een club Friese hackers - noemt de hack in Maastricht een heel andere kwestie. ,,Daar kwam het ook voort uit systemen die met elkaar verknoopt waren, waardoor hackers toen ze eenmaal binnen waren heel snel van het ene naar het andere konden springen.’’

Lees ook: Digitaal verkeer MCL ligt plat door cyberaanval hackers: patiëntendossiers niet bereikbaar

Systeem voor thuiswerken

De aanval bij het MCL was op de servers van Citrix, een systeem voor thuiswerken. Medewerkers kunnen er mee van buiten op het interne netwerk komen. In de software zit een lek, waardoor het mogelijk is om binnen te dringen.

Als dat lukt, kunnen kwaadwillenden meteen het computernetwerk van zo’n bedrijf op en zelf codes uitvoeren, zonder eerst accounts te hoeven kapen. Als ze die omweg niet nodig hebben, kunnen ze veel sneller toeslaan. In feite kunnen ze zonder toegangspas, zonder voordeurcodes en zonder controles de kluis in.

Het MCL is voor zover bekend het eerste Nederlandse bedrijf waarbij aanvallers proberen de kwetsbaarheid in Citrix te misbruiken. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwde maandag voor het probleem met de beveiliging. ,,Deze kwetsbaarheid wordt qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10”, aldus het NCSC.

Wereldwijd zijn zo’n 25.000 bedrijven die werken met de software van Citrix kwetsbaar voor een aanval. In Nederland zou het om 731 gaan. Hoe de aanvallers bij het MCL terecht zijn gekomen is onduidelijk. Klopper: ,,Tot het bericht van vandaag was het feit dat MCL gebruikmaakt van Citrix geen publiek bekende kennis.’’

MCL handelde logisch en verstandig

Volgens Van der Meulen en Klopper heeft het ziekenhuis met het afsluiten van alle digitale externe communicatie logisch en verstandig gehandeld. Van der Meulen: ,,Hiermee probeer je verdere impact te voorkomen en eventuele indringers van buitenaf de pas af te snijden.’’ Als de situatie onder controle is, kunnen tegenmaatregelen genomen worden.

Klopper plaatst wel zijn vraagtekens bij het afsluiten van patiëntenomgeving Mijnmcl. ,,Ik snap de link met Citrix niet zo goed. Dat systeem is bedoeld voor thuiswerken, je hebt het niet nodig voor een patiëntenportal.’’

Hij noemt een aanval en eventuele inbraak op de patiëntenomgeving ,,een doodzonde voor een ziekenhuis’’. ,,De kwetsbaarste data, de patiëntgegevens, zijn dan al bereikbaar.’’ Als de aanvallers die gegevens wilden bemachtigen, is een aanval via Citrix volgens hem overigens nogal omslachtig. ,,Dan zijn ze niet heel serieus. Je zet het verkeerde gereedschap in om een deur in te trappen.’’

Patiëntgegevens goed beveiligd

Frits Mostert, woordvoerder van het MCL, zegt dat het ziekenhuis geprobeerd heeft koste wat kost te voorkomen dat privacygevoelige gegevens bereikbaar zouden zijn en daarom meerdere systemen heeft afgesloten. Voor zover bekend heeft de aanval geen schade toegebracht. De zorg gaat ook gewoon door.

Volgens Van der Meulen hebben de meeste bedrijven meerdere verdedigingslinies om dit soort aanvallen te pareren. ,,Dat zal in het geval van het MCL niet anders zijn. ,,Het succesvol inbreken op een eerste linie (de toegang in dit geval) wil nog niet direct zeggen dat je ook door de volgende barrières heen bent gekomen. Het wil dus ook niet direct zeggen dat de hacker bij patiënt-data is gekomen.’’

Of de aanval voorkomen had kunnen worden, is de vraag. Van der Meulen: ,,Dit is wel het risico dat een organisatie loopt. MCL zal alles goed op orde hebben maar de realiteit is dat tegenwoordig bijna geldt dat het niet de vraag is of je wordt gehackt maar wanneer je wordt gehackt.’’

Nieuws

Meest gelezen